Redes Neuronales Convolucionales en la Ciberseguridad

Resumen: Vivimos en un mundo donde hay una guerra que pasa desapercibida para muchas personas, aquellos que realmente tienen conciencia de ella, toman medidas para contrarrestar la amenaza que representa para las organizaciones en las que trabajan, la guerra cibernética, donde cibercriminales buscan violar los sistemas de información de múltiples compañías en cualquier parte del mundo, para obtener la mayor cantidad de información y usarla a su favor, datos confidenciales, intercambiando el valor que esto representa por dinero, el malware que fabrican explotan vulnerabilidades en medios tecnológicos que utilizan en el día a día, y a medida que pasa el tiempo se vuelven amenazas más inteligentes, las redes neuronales convolucionales, son un tipo de inteligencia artificial, con los mecanismos del deep learning puede analizar malware y clasificarlo como amenazas, lo que beneficiaría a las instituciones a protegerse de ataques tecnológicos.

Palabras Claves: malware, ciberseguridad, guerra, riesgos, tecnológia.

Abstract: We live in a world where there is a war that goes unnoticed by many people, those who really are aware of it, take measures to counter the threat it represents for the organizations they work in, cyber warfare, where billions of cybercriminals seek violate the information systems of multiple companies anywhere in the world, to obtain the greatest amount of information and use it to their advantage, confidential data of people from all over the world, exchanging the value that this represents, for money, thanks to malware that manufacture, exploit vulnerabilities in technological means that they use on a daily basis, and as time passes, they become more intelligent threats, convolutional neural networks, are a type of artificial intelligence, with the mechanisms of deep learning can analyze malware and classify it as threats, which would benefit institutions to protect its image.

Desarrollo:

Las redes neuronales convolucionales, son uno de los tipos de arquitectura más conocidas del deep learning usada en la actualidad, el cual sirven para procesar imágenes y videos, gracias a esta arquitectura es posible desarrollar sistemas para la clasificación de imágenes, reconocimiento de objetos en escena, identificación de rostros, desarrollo de vehículos autónomos y en la salud en la detección de enfermedades a gran precisión. La idea central de una red convolucional es detectar patrones de entradas, con la característica de que los datos de entrada son imágenes.

Este tipo de arquitectura imita la forma en la que el cerebro procesa las imágenes en la corteza visual, la corteza visual se subdivide en distintas capas, la capa V1, al interpretar las imágenes estas neuronas se especializan en procesar patrones básicos, como líneas o bordes, en distintas partes del objeto, entonces, luego de ser procesada es trasladada a la capa V2, en donde se analizan formas, en la capa V4, el grupo de neuronas es capaz de detectar ojos, nariz y boca, y la parte inferior temporal (IT) ya es capaz de identificar un rostro.

Una convolución es una operación matemática, en la que su función es la conjunción entre funciones. La red convolucional representa digitalmente las imágenes por medio de matrices desde 0 a 255 correspondiente a cada pixel, las imágenes son llevadas a capas convolucionales, que, a su vez, entrena en gran cantidad los filtros que se especializan en extraer distintas características de una imagen. Los datos de entrada, son los pixeles de una imagen. Si se cuenta una imagen con 741 pixeles de alto y 700 de ancho, equivale a 518,700 neuronas. Una red convolucional puede capturar con éxito las dependencias espaciales y temporales en una imagen a través de la aplicación de filtros relevantes. La arquitectura se adapta mejor al conjunto de datos de la imagen debido a la reducción en el número de parámetros involucrados y la reutilización de la información. En otras palabras, la red puede ser entrenada para comprender la sofisticación de una imagen.

La seguridad informática es el conjunto de políticas, técnicas, tecnologías y procesos que funcionan juntos para proteger la confidencialidad, integridad y disponibilidad de recursos informáticos. Existen mecanismos de defensa cibernética a nivel de datos. Hay una gran cantidad de herramientas, como firewalls, software antivirus, intrusión sistemas de detección (IDS) y sistemas de protección contra intrusos (IPS), que funcionan en sitio, para evitar ataques y detectar infracciones de seguridad. Sin embargo, muchos adversarios todavía tienen una ventaja, solo se necesita encontrar una vulnerabilidad en los sistemas que necesitan protección. En la actualidad, el número de personas con acceso a Internet ronda los 4.156 millones en todo el mundo, esto es, alrededor del 54% de la población mundial. Como el número de conectados a internet aumenta, la superficie de ataque también aumenta, lo que lleva a un mayor riesgo de ataque. Además, los atacantes se están volviendo más sofisticados, desarrollando exploits de día cero y malware que evaden medidas de seguridad, lo que les permite persistir durante largos períodos sin previo aviso. Hazañas de día cero son ataques que no se han encontrado previamente pero que a menudo son variaciones de un ataque conocido. Para exacerbar el problema, se están comercializando los mecanismos de ataque, lo que permite una distribución rápida sin necesidad de un entendimiento para desarrollar exploits. Además de defenderse contra externas amenazas, los defensores también deben protegerse contra las amenazas internas de individuos o entidades dentro de una organización que hace mal uso de su acceso autorizado.

A lo largo del ciclo de vida de un ataque, hay indicadores de compromiso; incluso puede ser significativo signos de un ataque inminente. El desafío está en encontrar estos indicadores que pueden distribuirse en todo el entorno, hay grandes cantidades de datos de aplicaciones, servidores, dispositivos smart y otros recursos cibernéticos generados por máquina a máquina y de persona a máquina. Los sistemas de defensa cibernética están generando datos voluminosos, como la información de seguridad. Sistema de gestión de eventos (SIEM), que a menudo abruma al analista de seguridad con alertas de eventos. El uso de la ciencia de datos en ciberseguridad puede ayudar a correlacionar eventos, identificar patrones y detectar comportamiento anómalo para mejorar la postura de seguridad de cualquier programa de defensa. Estamos empezando a ver surgimiento de sistemas de defensa cibernética que aprovechan el análisis de datos. Por ejemplo, intrusión en la red. Los sistemas de detección (NIDS) que inspeccionan las transmisiones de paquetes, están evolucionando, a partir de sistemas basados en firmas, que detectan ataques conocidos a sistemas basados en anomalías que detectan desviaciones de un “normal” perfil de comportamiento…

Las redes neuronales convolucionales es una tecnología ideal para abordar el volumen y la velocidad del entorno de amenaza actual. Hoy en día, los delincuentes informáticos utilizan la automatización para generar y entregar malware nuevo a escala global a un ritmo de casi un millón por día. En contraste, nuestras defensas de amenazas tradicionales basadas en firmas son de naturaleza manual y se ven obsoletas.

Uno de los principales desafíos de seguridad informática hoy en día es la amenaza interna, que resulta en el robo de información o la explotación de vulnerabilidades inconscientemente. Las motivaciones y comportamientos de las amenazas internas varían extensamente; sin embargo, el daño que pueden causar internamente es significativo. Un vector de características que comprende un resumen de los registros del sistema para cada usuario podría ser creado para cada día y alimentado una red neuronal convolucional, creado para cada usuario con la salida objetivo siendo el vector de características del día siguiente. Cuando una predicción difiere dramáticamente de los datos de un día determinado, Se produce una anomalía. El uso de modelos separados para cada usuario significa que los modelos no tienen que tener en cuenta para el amplio comportamiento normal de todos los usuarios.

Sin embargo, existe un factor el cual debe de analizarse, el costo implícito de una clasificación errónea en el dominio de seguridad informática es un grave problema. Los falsos positivos en la clasificación de malware y la detección de intrusos molestan operadores de seguridad y obstaculizar la remediación en caso de infección real. En la detección de phishing, pueden hacer que no se entreguen mensajes importantes y legítimos para finalizar usuarios. Por el contrario, al no detectar malware, una intrusión en la red o un correo electrónico de phishing puede comprometer a toda una organización.

Las redes neuronales convolucionales aprenden con base a su experiencia. Es una tecnología muy sofisticada y compleja, la cual no debe ser implementada solo en un campo específico, si no en varios, para poder detectar malware se necesita contrastar múltiples fuentes de información, para que el algoritmo este lo suficientemente preparado para el análisis de patrones de vulnerabilidades y así evitar los ataques de día Zero.

La detección de intrusos tiene como objetivo descubrir actividades ilícitas dentro de una computadora o una red a través de sistemas de detección de intrusiones (IDS). Los IDS de red se implementan ampliamente en redes empresariales modernas. Estos sistemas se basaban tradicionalmente en patrones de ataques conocidos, pero las implementaciones modernas incluyen otros enfoques para la anomalía, detección de amenazas y clasificación basada en aprendizaje automático. Dentro del área de detección de intrusiones más amplia, dos problemas específicos son relevantes para nuestro análisis: La detección de botnets y de Algoritmos de Generación de Dominio (DGA). Una botnet es una red de máquinas infectadas controladas por atacantes y mal utilizadas para conducir múltiples actividades ilícitas. La detección de botnets tiene como objetivo identificar las comunicaciones entre máquinas infectadas dentro de la red monitoreada y el comando y control externo servidores, a pesar de muchas propuestas de investigación y herramientas comerciales que abordan ante estas amenazas, todavía existen varias de ellas.

Referencias bibliográficas:
Heartbleed, «Heartbleed,» [En línea]. Available: http://heartbleed.com/.
Checkpoint, «Live Cyber Threat Map,» [En línea]. Available: https://threatmap.checkpoint.com/.
A. Monzon, Interviewee, Redes Neuronales Convolucionales en la Ciberseguridad. [Entrevista]. 4 11 2019.
G. Moreno, «statista,» 28 05 2018. [En línea]. Available: https://es.statista.com/grafico/13903/cuantos-usuarios-de-internet-hay-en-america-latina/.
C. d. l. R. d. G. g, «Iniciativa que dispone aprobar Ley de Prevención y Protección contra la Ciberdelincuencia.,» [En línea]. Available: https://www.congreso.gob.gt/detalle_pdf/iniciativas/5614.
S. d. Bancos, «Reglamento para la Administración del Riesgo Tecnológico,» 2011.
Britos, «ENTRENAMIENTO DE REDES NEURONALES BASADO EN ALGORITMOS EVOLUTIVOS,» 2005.
R. E., « Introducción a las Redes Neuronales Artificiales.,» 2005.
M. Rodriguez, « Desarrollo de una interfaz gráfica de redes neuronales usando matlab,» 2009.
F. Tancano, « Introducción a las redes neuronales artificiales. Grupo de Inteligencia Artificial.,» 2003.
J. Cowley, «Redes neuronales convolucionales, Utilizar Python para implementar una red sencilla que clasifica dígitos escritos a mano,» IBM, 2018 12 7. [En línea]. Available: https://www.ibm.com/developerworks/ssa/lib rary/cc-convolutional-neural-network-visionrecognition/index.html. [Último acceso: 4 11 2019].
Y. LeCun, Deep Learning, Bengio, and G. Hinton, 2015.
F. M. K. B. T. A. B. R. &. M. A. M., Anomaly Detection in the Cloud: Detecting Security Incidents via Machine Learning, Gander, 2012.
Sobre el